AWS アカウント とは - AWS アカウント管理
AWS アカウントの機能AWS を初めてお使いになる方向けの情報

AWS アカウント とは

AWS アカウントは、お客様が AWS と確立する正式なビジネス関係を表します。ユーザーは AWS リソースを AWS アカウント内で作成および管理します。アカウントでは、アクセスと請求に対する ID 管理機能が提供されます。各 AWS アカウントには、他の AWS アカウントと区別するための一意の ID があります。

クラウドリソースとデータは、AWS アカウントに格納されています。アカウントは Identity and access management の分離境界として機能します。2 つのアカウント間でリソースとデータを共有する必要がある場合は、このアクセスを明示的に許可する必要があります。デフォルトでは、アカウント間のアクセスは許可されていません。例えば、本番環境および非本番環境のリソースとデータを格納するために異なるアカウントを指定する場合、デフォルトではこれらの環境間でのアクセスは許可されません。

AWS アカウントは、AWS サービスへのアクセスにおいても基本的な役割を果たします。次の図に示すように、AWS アカウントには 2 つの主要な機能があります。

  • リソースコンテナ — AWS アカウントは、AWS カスタマーとして作成するすべての AWS リソースの基本コンテナです。例えば、Amazon Simple Storage Service (Amazon S3) バケット、Amazon Relational Database Service (Amazon RDS) データベース、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスはすべてリソースです。すべてのリソースは、リソースを含む、または所有しているアカウントのアカウント ID を含む Amazon リソースネーム (ARN) によって一意に識別されます。

  • セキュリティ境界 — AWS アカウント は、AWS リソースの基本的なセキュリティ境界でもあります。アカウントで作成したリソースは、そのアカウントに対する認証情報を持つユーザーが使用できます。アカウントで作成できる主要なリソースの 1 つに、ユーザーやロールなどの ID があります。ID には、AWS へのサインイン (認証) に使用できる認証情報があります。また、ID には、ユーザーがアカウント内のリソースで何を実行できるか (認可) を指定するアクセス許可ポリシーもあります。

この図は、リソースコンテナ、セキュリティ境界、およびポリシーが、アカウント内の共有リソースに対するユーザーやロールのアクセスレベルを決定する方法を示しています。

複数の AWS アカウントを使用することは、環境をスケーリングするためのベストプラクティスです。これは、コストの自然な請求境界を提供し、セキュリティのためにリソースを分離し、個人やチームに柔軟性を与えることに加えて、新しいビジネスプロセスに適応できるためです。詳細については、「複数の AWS アカウントを使用する利点」を参照してください。

AWS アカウントの機能

AWS アカウントには、以下の主要な機能があります。

  • コストのモニタリングと制御 – アカウントは、AWS のコストを割り当てるためのデフォルトの手段です。このため、異なるビジネスユニットやワークロードのグループごとに異なるアカウントを使用することで、クラウド支出をより簡単に追跡、制御、予測、予算編成、報告できるようになります。アカウントレベルでのコストレポートに加えて、AWSには、AWS Organizations を使用した場合にアカウントセット全体のコストを統合して報告するためのサポートが標準で備わっています。また、AWS Service Quotas を使用して、AWS コストに劇的な影響を与える可能性のある AWS リソースの予期しない過剰なプロビジョニングや悪意のあるアクションから保護することもできます。

  • 分離の単位 – AWS アカウントは、AWS リソースに対するセキュリティ、アクセス、および請求の境界を提供し、リソースの自律性と分離を実現するのに役立ちます。設計上、アカウント内でプロビジョニングされたすべてのリソースは、自身の AWS 環境内であっても、他のアカウントでプロビジョニングされたリソースから論理的に分離されます。この分離境界により、アプリケーション関連の問題、設定ミス、または悪意のあるアクションのリスクを制限する方法が提供されます。1 つのアカウント内で問題が発生した場合に、他のアカウントに含まれるワークロードへの影響を軽減または排除することができます。

  • ビジネスワークロードのミラーリング – 複数のアカウントを使用して、共通のビジネス目的を持つワークロードを個別のアカウントにグループ化します。その結果、所有権と意思決定がそれらのアカウントに沿ったものになり、他のアカウントのワークロードをセキュリティ保護および管理する方法との依存関係や競合を回避できます。全体的なビジネスモデルに応じて、異なるアカウントで個別のビジネスユニットや子会社を分離することを選択できます。このアプローチにより、時間の経過に伴ってそれらのユニットを売却することも容易になる可能性があります。

AWS を初めてお使いになる方向けの情報

AWS を初めて使用する場合、最初のステップは AWS アカウントにサインアップすることです。サインアップすると、提供された詳細情報で AWS によってアカウントが作成され、そのアカウントが割り当てられます。AWS アカウントを作成したら、ルートユーザーとしてサインインし、ルートユーザーの多要素認証 (MFA) をアクティブ化し、ユーザーに管理アクセスを割り当てます。

新しいアカウントを設定するステップバイステップの手順については、「AWS アカウント の開始方法」を参照してください。